ClamAV
freier Virenscanner und Phishing-Filter
From Wikipedia, the free encyclopedia
ClamAV (Clam AntiVirus) ist ein unter der GNU General Public License stehendes Virenschutzprogramm – also eine Anwendung gegen Schädlinge wie etwa Viren – mit einem Phishing-Filter, welcher häufig auf E-Mail-Servern zur Ausfilterung sogenannter Computerwürmer und Phishing-E-Mails zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Anwendungen eingebunden werden kann, einen im Hintergrund laufenden Dienst (Daemon) und eine Befehlszeilen-Anwendung.
| ClamAV | |
|---|---|
|
| |
 ClamAV mit der Oberfläche ClamTk auf Xubuntu 10.04 | |
| Basisdaten | |
| Entwickler | Cisco-Talos (ab 2013; davor Sourcefire) |
| Erscheinungsjahr | 2001 |
| Aktuelle Version | 1.5.1[1] (16. Oktober 2025) |
| Aktuelle Vorabversion | 1.5.0-rc[2] (20. August 2025) |
| Betriebssystem | plattformübergreifend (Installer für Linux, macOS und Windows)[3] |
| Programmiersprache | C++[4], C[4] |
| Kategorie | Virenschutzprogramm |
| Lizenz | GNU General Public License, Version 2[5][6] |
| deutschsprachig | ja |
| www.clamav.net | |
Unter Linux greift ClamAV auf fanotify zurück, um den Zugriff auf das Dateisystem über den Virenscanner umzuleiten, und kann daher als Echtzeitscanner verwendet werden; unter Windows sind für den Einsatz als Echtzeitscanner Zusatztools notwendig.
Unter Windows ist ClamAV imstande, Prozesse zu scannen, zu beenden und aus dem Arbeitsspeicher zu entfernen.[7]
Technische Einzelheiten
ClamAV besteht aus mehreren Programmen. Die wichtigsten sind:
- freshclam – aktualisiert die Datenbank;[8]
- clamd – lädt die Datenbank und macht sich dann zum Daemon;[9]
- clamdscan – sendet clamd Befehle und berichtet dessen Rückmeldung;[10]
- clamscan – lädt die Bibliothek libclamav und die Datenbank, scannt Dateien oder Verzeichnisse, berichtet dann und endet.[11][12]
Für die Einbindung in Mail Transfer Agents existieren weitere Anwendungen wie clamav-milter, Amavis, Rspamd, simscan oder qmail-scanner. Exim unterstützt clamd unmittelbar.[13]
Da ClamAV freie Software ist,[14] fand es schnell Einzug in unterschiedliche Linux-Distributionen und wurde auch auf andere Betriebssysteme portiert. Zudem wurden eine Reihe von grafischen Oberflächen entwickelt.
Beispiel-Sitzung
Bei einer ClamAV-Sitzung wird das Programm clamscan aufgerufen, um das aktuelle Verzeichnis zu durchsuchen. Das folgende Beispiel durchsucht drei Dateien. Die erste Datei wird als Phishing-E-Mail erkannt, die zweite als Virus-E-Mail. Die dritte Datei wird als sauber erkannt:
foo@bar:~$ clamscan /home/foo/Phishing-E-Mail: HTML.Phishing.Bank-159 FOUND /home/foo/Virus-E-Mail: Adware.Casino-1 FOUND /home/foo/saubere-Datei: OK
----------- SCAN SUMMARY ----------- Known viruses: 42498 Engine version: 0.88 Scanned directories: 1 Scanned files: 3 Infected files: 2 Data scanned: 0.99 MB Time: 1.765 sec (0 m 1 s)
Derivate und grafische Benutzeroberflächen
Windows
ClamWin ist eine grafische Benutzeroberfläche für und mit ClamAV, das seit April 2006 ohne Cygwin auskommt.[15][16][17] Das Tool bietet unter anderem eine Einbindung in das Kontextmenü vom Windows-Explorer, ein Plug-in für Microsoft Outlook[17] und Benachrichtigungen[17][18]
Clam Sentinel[19] ist ein Echtzeit-Scanner und setzt auf ClamWin auf.[20] Er läuft unter Windows 98/98 SE/ME/XP/Vista/7/8 und nistet sich als Anwendung im Infobereich der Taskleiste ein. Es erkennt Veränderungen am Dateisystem und prüft diese durch ein im Hintergrund mitlaufendes ClamWin. Auch werden angeschlossene Laufwerke, z. B. USB-Sticks, von Clam Sentinel überwacht.
ClamMail ist ein E-Mail-Proxy auf Basis von ClamAV. Bevor die Post in den E-Mail-Client kommt, läuft sie durch den Virenscanner. Im Programm enthalten ist eine automatische Aktualisierungs-Funktion.
Des Weiteren gibt es verschiedene Portierungen von ClamAV für Windows, welche wie die Linux-Variante über die Netzwerkschnittstelle (über Port 3310) ansprechbar sind – sowohl unmittelbar ausführbare Varianten als auch solche, die die Hilfe von Cygwin benötigen.
Unmittelbar ausführbare Varianten:
- ClamAV Antivirus Native Win32 Port[21] – bildet die Grundlage für ClamWin
- ClamAV for Windows, jetzt Immunet Antivirus[22] – die Basis war der ursprüngliche Quellcode von ClamAV
Portierung auf Cygwin (für Windows):
- ClamAV/SOSDG[23]
Linux
Ein Projekt ist das von Robert Hogan entwickelte KlamAV, ein unter der GPL stehendes KDE-Frontend, die Entwicklung ist 2009 eingeschlafen. Alternativ kam ClamTK zum Einsatz, allerdings wurde im April 2024 das Projekt ebenso eingestellt.
Es existiert noch ein weiteres Projekt, das im Juli 2015 gestartet wurde und 2024 wieder erneut Fahrt aufgenommen hat. Es heißt wie unter OS/2 „ClamAV-GUI“, hat aber nichts mit diesem Projekt zu tun. Das Programm wurde inzwischen auch von einer ukrainischen Sicherheitsfirma (UALinux) in ihr Portfolio aufgenommen und es wird durch diese Firma auch eine Debian Version (Ubuntu) zum Download angeboten. Das Programm ist außerdem unter store.kde.org und pling.com als Source-Code, und OpenSuSE RPM Package erhältlich. Zusätzlich existiert ein Repository auf build.opensuse.org. In der aktuellen Version wird die aktuelle Version von ClamAV (1.4.2) unterstützt und es werden die Sprachen Deutsch, Englisch, Portugiesisch, Dänisch, Italienisch, Spanisch, Französisch und Ukrainisch unterstützt.
Weitere Betriebssysteme
Mit ClamXav existiert auch für das Betriebssystem macOS eine grafische Benutzeroberfläche, die ClamAV als Basis nutzt und ständig weiter entwickelt wird. Allerdings handelt es sich hierbei ab der Version 2.8 um ein kommerzielles Produkt.
Für das Betriebssystem OS/2 und sein Derivat eComStation existiert eine grafische Benutzeroberfläche ClamAV-GUI,[24] die ClamAV als Basis nutzt und weiter entwickelt wird.
Geschichte
ClamAV existiert seit Mai 2002.[25]
Im Juli 2003 zog ClamAV auf SourceForge um.[26] Im Oktober 2003 folgte Round Robin der Spiegelserver seiner Datenbank per Resource Record, im Januar 2004 eine sprunghafte Vergrößerung der Datenbank, und im Februar 2004 ein von Debian inspiriertes Verfahren zur schnellen Aktualisierung aller Spiegelserver.[27][28][29]
Im August 2007 verkauften die hauptsächlichen Entwickler von ClamAV das Projekt an Sourcefire.[30]
Im Juli 2013 wurde Sourcefire und damit auch ClamAV von Cisco gekauft.[31][32]
Versionsgeschichte
| Version | veröffentlicht am[33] | Anmerkungen und wichtigste Änderungen | |||
|---|---|---|---|---|---|
| 0.60 | 29. Juli 2003[34] | Unterstützung bis 1. September 2004 | |||
| 0.65 | 12. November 2003[34] | nun mit komprimierter und digital signierter Datenbank[34] | |||
| 0.70 | 15. März 2004[35] | Robusterer Daemon und auf VBA-Makros für MS Office erweitert.[35] Es folgten 6 weitere Versionen der 0.7er-Reihe von 0.71 bis 0.75.1 am 30. Juli 2004. | |||
| 0.80 | 17. Oktober 2004 | Es folgten 19 weitere Versionen in der 0.80er-Reihe (nach 0.80 von 0.81 bis 0.88.7) Letzte Version: 0.88.7 am 11. Dezember 2006 | |||
| 0.90 | 13. Februar 2007 | Es folgten 14 weitere Versionen in der 0.90er-Reihe bis zum Ende der 0.94er-Reihe (nach 0.90 von 0.90.1 bis 0.94.2) Letzte Version: 0.94.2 am 26. November 2008 | |||
| 0.95 | 23. März 2009 | Neu: Unterstützung für Windows-Systeme;[36] es folgten 3 weitere Versionen in der 0.95er-Reihe (nach 0.95 von 0.95.1 bis 0.95.3) mit Sicherheits- und Stabilitätsaktualisierungen[37][38] Letzte Version: 0.95.3 am 28. Oktober 2009 | |||
| 0.96 | 31. März 2010 | Neu: Heuristik zur Windows-Malware-Erkennung; Unterstützung der Dateiformate für 7-Zip, InstallShield, cpio und weitere;[39] neu in Version 0.96.2: neuer Parser für PDF-Dateien, sowie Optimierung der Ausführungsgeschwindigkeit und des Speicherverbrauches;[40] gemeinschaftlich-basierte Nachweisverfahren (mit Cloud Computing und Unterstützung der Internetgemeinschaft); es folgten fünf Versionen in der 0.96er-Reihe (nach 0.96 von 0.96.1 bis 0.96.5),[41] unter anderem mit Sicherheits- und Stabilitätsaktualisierungen Letzte Version: 0.96.5 am 30. November 2010 | |||
| 0.97 | 7. Februar 2011 | Neu: Unterstützung von Windows, Unterstützung von Signaturen, die auf SHA1 und SHA256 basieren, verbesserte Fehlererkennung, Geschwindigkeits- und Speicheroptimierungen[42] Es folgten vier Versionen in der 0.97er-Reihe (nach 0.97 von 0.97.1 bis 0.97.6) | |||
| 0.98 | 19. September 2013 | neben der Unterstützung weiterer Dateiformate (wie ISO-9660-Abbilder und selbst entpackende 7z-Archive) wurde unter anderem für Echtzeitüberwachung das Modul Clamuko/Dazuko durch fanotify ersetzt;[43] Letzte Version: 0.98.7 am 28. April 2015 | |||
| 0.99 | 1. Dezember 2015 | u. a. Erweiterung mit der Malware-Beschreibungssprache YARA, zudem eine neue Echtzeitüberwachung für Linux[44] Letzte Version: 0.99.4 am 1. März 2018 | |||
| 0.100 | 9. April 2018 | Unterstützung von OpenSSL, hingegen keine Unterstützung mehr für Windows XP (und Vista)[45] Letzte Version: 0.100.3 am 26. März 2019[46] | |||
| 0.101 | 3. Dezember 2018 | es werden nun u. a. auch sogenannte Rar-Archive in der Version 5 unterstützt[47] Letzte Version: 0.101.5 am 20. November 2019[48] | |||
| 0.102 | 2. Oktober 2019 | u. a. mit Verbesserungen beim Prüfen ausführbarer Dateien im PE-Format[49][48] Letzte Version: 0.102.4 am 16. Juli 2020[50] | |||
| 0.103 | 14. September 2020 | u. a. können Datenbanken nun auch während des Scannens geladen werden;[51] wurde am 3. September 2021 zum LTS-Zweig erklärt;[52] Letzte Version: 0.103.12 vom 4. September 2024 | |||
| 0.104 | 3. September 2021 | Letzte Version: 0.104.4 am 26. Juli 2022[53][54] | |||
| 0.105 | 3. Mai 2022 | Letzte Version: 0.105.2 am 15. Februar 2023[54] | |||
| 1.0 LTS | 28. November 2022 | Als LTS-Version mit Unterstützung bis zum 28. November 2025 herausgegeben.[55] | |||
| 1.1 | 1. Mai 2023[56] | Letzte Version: 1.1.3 vom 25. Oktober 2023[57] | |||
| 1.2 | 28. August 2023[58] | Letzte Version: 1.2.3 vom 4. April 2024[59] | |||
| 1.3 | 7. Februar 2024 | Letzte Version: 1.3.2 vom 4. September 2024 | |||
| 1.4 LTS | 15. August 2024 | Scans von ALZ- und LHA/LZH-Archiven aktivierbar; Scans auf verräterische Bilder deaktivierbar.[60] | |||
Ältere Version; nicht mehr unterstützt Ältere Version; noch unterstützt Aktuelle Version | |||||
Erweiterbarkeit
Das unter Linux optional zu installierende Open-Source-Projekt fangfrisch soll dazu dienen, eine große Menge an weiteren Virendefinitionen einzubinden und die Erkennungsrate von ClamAV zu steigern.[61] Es ist ein Fork des seit 2021 inaktiven clamav-unofficial-sigs[62]
ClamAV selbst ist (unter Windows) kein Echtzeit-Scanner, kann aber zusammen mit Programmen wie ClamFS, Spyware Terminator, Clam Sentinel oder Winpooch als Echtzeit-Scanner genutzt werden.
Siehe auch
- Desinfec’t (ehemals Knoppicillin genannt)
Literatur
- Ralf Spenneberg: 20 Jahre ClamAV: Open-Source-Malware-Detektion. In: iX – Magazin für professionelle Informationstechnik. Nr. 3, 22. Februar 2023, S. 58 (heise.de).
Weblinks
- Clam AntiVirus – Offizielle Webseite (englisch)
- User Manual (englisch; PDF, 252 kB)
